Идентификация, аутентификация, авторизация — в чем разница?

Перед серией уроков по информационной безопасности нам нужно разобраться с базовыми определениями.

Сегодня мы узнаем, что такое идентификация, аутентификация, авторизация и в чем разница между этими понятиями

Что такое идентификация?

Сначала давайте прочитаем определение:

Идентификация — это процедура распознавания субъекта по его идентификатору (проще говоря, это определение имени, логина или номера).

Идентификация выполняется при попытке войти в какую-либо систему (например, в операционную систему или в сервис электронной почты).

Сложно? Давайте перейдём к примерам, заодно разберемся, что такое идентификатор.

Пример идентификатора в социальной сети ВКонтакте

Когда нам звонят с неизвестного номера, что мы делаем? Правильно, спрашиваем “Кто это”, т.е. узнаём имя. Имя в данном случае и есть идентификатор, а ответ вашего собеседника — это будет

идентификация.

Идентификатором может быть:

• номер телефона
• номер паспорта
• e-mail
• номер страницы в социальной сети и т.д.

Подробнее об идентификаторах и ID рекомендую прочитать здесь.

Что такое аутентификация?

После идентификации производится аутентификация:

Аутентификация – это процедура проверки подлинности (пользователя проверяют с помощью пароля, письмо проверяют по электронной подписи и т.д.)

Чтобы определить чью-то подлинность, можно воспользоваться тремя факторами:

1. Пароль – то, что мы знаем (слово, PIN-код, код для замка, графический ключ)
2. Устройство – то, что мы имеем (пластиковая карта, ключ от замка, USB-ключ)
3. Биометрика – то, что является частью нас (отпечаток пальца, портрет, сетчатка глаза)

Отпечаток пальца может быть использован в качестве пароля при аутентификации

Получается, что каждый раз, когда вы вставляете ключ в замок, вводите пароль или прикладываете палец к сенсору отпечатков пальцев, вы проходите аутентификацию.

Ну как, понятно, что такое аутентификация? Если остались вопросы, можно задать их в комментариях, но перед этим разберемся еще с одним термином.

Что такое авторизация?

Когда определили ID, проверили подлинность, уже можно предоставить и доступ, то есть, выполнить авторизацию.

Авторизация – это предоставление доступа к какому-либо ресурсу (например, к электронной почте).

Разберемся на примерах, что же это за загадочная авторизация:

• Открытие двери после проворачивания ключа в замке
• Доступ к электронной почте после ввода пароля
• Разблокировка смартфона после сканирования отпечатка пальца
• Выдача средств в банке после проверки паспорта и данных о вашем счете

Дверь открылась? Вы авторизованы!

Взаимосвязь идентификации, аутентификации и авторизации

Наверное, вы уже догадались, что все три процедуры взаимосвязаны:

1. Сначала определяют имя (логин или номер) – идентификация
2. Затем проверяют пароль (ключ или отпечаток пальца) – аутентификация
3. И в конце предоставляют доступ – авторизация

Инфографика: 1 — Идентификация; 2 — Аутентификация; 3 — Авторизация

Проблемы безопасности при авторизации

Помните, как в сказке «Красная Шапочка» бабушка разрешает внучке войти в дом? Сначала бабушка спрашивает, кто за дверью, затем говорит Красной Шапочке, как открыть дверь. Волку же оказалось достаточным узнать имя внучки и расположение дома, чтобы пробраться в дом.

Какой вывод можно сделать из этой истории?

Каждый этап авторизации должен быть тщательно продуман, а

идентификатор, пароль и сам принцип авторизации нужно держать в секрете.

Заключение

Итак, сегодня вы узнали, что такое идентификация, аутентификация и авторизация.

Теперь мы можем двигаться дальше: учиться создавать сложные пароли, знакомиться с правилами безопасности в Интернете, настраивать свой компьютер с учетом требований безопасности.

А в заключение, занимательная задачка для проверки знаний: посчитайте, сколько раз проходят идентификацию, аутентификацию и авторизацию персонажи замечательного мультфильма «Петя и Красная Шапочка» (ответы в комментариях).

P.S. Самые внимательные могут посчитать, сколько раз нарушены рассмотренные в данном уроке процедуры.

Автор: Сергей Бондаренко http://it-uroki.ru/

Копирование запрещено, но можно делиться ссылками:

---

Поделитесь с друзьями:

---

Понравились IT-уроки?

Все средства идут на покрытие текущих расходов (оплата за сервер, домен, техническое обслуживание)
и подготовку новых обучающих материалов (покупка необходимого ПО и оборудования).

---

Много интересного в соц.сетях:

Пять лучших вариантов двухфакторной аутентификации

Помните утекшие в Интернет фотографии голых знаменитостей, наделавшие столько шуму год назад? Эта история не только разнообразила личную жизнь миллионов подростков по всему миру, но и имела неожиданный образовательный эффект.

Например, из нее многие люди узнали, что имя любимой собаки — не самый надежный пароль. А двухфакторная аутентификация — это не бесполезная заумь айтишников, а штука, необходимая даже владельцу айфона со стразами.

Скандальные картинки утекли из облачного сервиса iCloud, где хранились копии фотографий, сделанных на устройствах Apple. Хакеры, как предполагается, действовали самым незамысловатым путем — просто подобрали пароли, используя комбинацию фишинга и перебора возможных вариантов. После этой истории Apple включила для iCloud двухфакторную аутентификацию и настоятельно посоветовала ею не пренебрегать.

Вы можете десять раз подряд выговорить «двухфакторная аутентификация»? И мы нет 🙁 http://t.co/whFhIx5Cpb #security #безопасность

— Kaspersky Lab (@Kaspersky_ru) June 10, 2014

Однако и в iCloud, и в Gmail, и в Facebook, и во многих других интернет-сервисах дополнительная проверка — это лишь опция. Большинство людей ею не пользуются. Потому что неудобно. Ну или не пробовал, но наверняка же неудобно. И вообще, сейчас есть другие дела, поважнее.

Между тем лишиться своей почты или аккаунта в соцсети можно легко и непринужденно, даже не будучи Ким Кардашян или Кейт Аптон.

И последствия могут быть довольно неприятными, особенно если ваш бизнес связан с онлайном.

Два замка лучше

Большинство людей под двухфакторной аутентификацией (2FA) понимают одноразовые пароли, которые приходят на мобильный телефон в виде SMS. Для онлайн-сервисов это действительно самый распространенный вариант защиты, хотя и далеко не единственный.

По большому счету двухфакторная аутентификация — это просто дверь с двумя замками. Одним запором выступает традиционная пара «логин — пароль», а вторым может быть что угодно. Да и замков можно навесить не два, а сколько душе угодно — просто ковыряться с ними придется несколько дольше, так что начать стоит хотя бы с двух.

SMS-пароли просты, понятны и относительно надежны, но не всегда удобны. Каждый раз для входа в аккаунт приходится искать телефон, ждать прихода SMS, вбивать циферки… Ошибся или не успел — процедура повторяется. Если сеть оператора перегружена, то SMS может опаздывать. Меня, например, такие ситуации жутко раздражают.

SIM-карта сокровищ: как потерять все, потеряв один лишь телефон — http://t.co/ElKB4U1unJ

— Kaspersky Lab (@Kaspersky_ru) November 17, 2014

Если сотовой сети совсем нет (не такая уж, кстати, редкость в путешествиях), то и пароля тоже нет. Наконец, телефон можно просто потерять. И остаться в этой ситуации еще и без других средств связи будет совсем грустно.

На случай подобных неурядиц многие сервисы, например Google и Facebook, предлагают запасные варианты. Например, созданный заранее список одноразовых ключей, которые можно распечатать и положить куда-нибудь в надежное место.

Пять способов защитить свои интимные фото с помощью двухфакторной аутентификации #privacy #security #2FA

Tweet

Кроме того, SMS-пароль может запрашиваться не всякий раз при входе в аккаунт, а только в тех случаях, когда логин происходит с неизвестного устройства. Решать здесь вам, в соответствии с вашим персональным уровнем паранойи. Точно так же происходит авторизация и привязанных к аккаунту приложений вроде почтового клиента. Достаточно один раз скормить им специально сгенерированный пароль, и они этим удовлетворятся на долгое время.

В итоге получается, что если вы каждый день не заходите в Сеть с нового устройства, то включение аутентификации по SMS доставит не так уж много хлопот. Один раз настроил — и все работает.

Удостоверение на смартфоне

А вот если вы много путешествуете, то более разумным решением, возможно, будет двухфакторная аутентификация через приложение. В отличие от SMS, этот способ работает и офлайн. Просто одноразовый цифровой пароль генерируется не на сервере, а непосредственно на вашем смартфоне (подружить программу с сервисом, разумеется, нужно заранее, и для этого Интернет потребуется).

Бесплатных приложений для аутентификации существует масса, но в роли «отраслевого стандарта» выступает Google Authenticator. Эта программа поддерживает работу не только с Gmail, но и со множеством других сервисов: Facebook, «ВКонтакте», Tumblr, Dropbox, WordPress и так далее.

Add 2-step verification to keep the bad guys out of your Google account http://t.co/8txtgcY1yM #staysafe pic.twitter.com/NuKmVuEpqs

— Google (@google) October 3, 2013

Если хочется чего-то более функционального, хорошим выбором может стать Twilio Authy. Эта программа может все то же, что и Google Authenticator, плюс добавляет несколько весьма полезных фишек.

Во-первых, это возможность сохранить полученные сертификаты в облачном хранилище и скопировать на другие свои устройства (смартфоны, компьютеры, планшеты — список поддерживаемых платформ очень широкий и включает даже Apple Watch). Если вдруг одно из устройств украдут, контроль над аккаунтом от вас никуда не денется. Вход в приложение защищен PIN-кодом, а ключ на скомпрометированном устройстве можно отозвать.

Во-вторых, Authy здорово облегчает жизнь при развертывании на новом устройстве по сравнению с тем же Google Authenticator.

Ключ на старт

Описанные выше варианты обладают одним очевидным недостатком. Если вы заходите в аккаунт с какого-то устройства и оно же выступает в роли «второго замка» — получателя SMS-паролей или носителя приложения, то дополнительная защита работает уже не так хорошо.

Более серьезный уровень безопасности способны обеспечить специализированные аппаратные ключи. Выглядеть они могут по-разному: USB-ключи, смарт-карты, офлайновые брелки-токены с цифровым дисплеем, — но устроены похожим образом. По сути это миниатюрный компьютер, который генерирует по запросу те же самые одноразовые ключи. Эти проверочные ключи пользователь потом вводит вручную, или они передаются в систему автоматически — например, через USB-интерфейс.

Just launched today! #YubiKey Edge and Edge-n for #U2F and OTP — http://t.co/gLPM8EUdff pic.twitter.com/LhSJhzdTHR

— Yubico (@Yubico) April 16, 2015

Аппаратные ключи не зависят от работоспособности сотовой сети и телефона. Зато их нужно специально покупать и потом носить не теряя. Что для некоторых людей представляет собой довольно серьезный челлендж.

Обычно аппаратные ключи используются для защиты интернет-банкинга, корпоративных систем и прочих «серьезных» дел. Хотя никто не мешает вам закрыть свой Google или WordPress-аккаунт аккуратным замочком в виде недорогой флешки, поддерживающей открытый отраслевой стандарт FIDO U2F (например, это популярные ключи YubiKey).

Предъявите ваши импланты

Традиционные аппаратные ключи, возможно, хороши в плане безопасности, но не так уж удобны в использовании. Необходимость каждый раз втыкать флешку в USB-порт большого энтузиазма не вызывает, да и к смартфону ее никак не подключишь.

Гораздо удобнее было бы сделать беспроводной ключ, работающий через Bluetooth или NFC. Именно это и позволяют новые спецификации стандарта FIDO U2F, принятые летом текущего года.

Подобную метку, удостоверяющую личность владельца аккаунта, можно поместить куда удобно: в брелок на ключах, банковскую карту, в имплантированный под кожу NFC-чип, наконец. А устройством для чтения такого ключа может выступить почти любой современный смартфон.

#BionicManDiary, запись №001: как мне вживили чип: https://t.co/5LtLUp4zBR via @Kaspersky_ru #security #infosec #biohacking

— Tyler Durden (Che) (@cheresh) February 26, 2015

Один, два… много

На самом деле термин «двухфакторная аутентификация» уже устарел. Крупные сервисы вроде Google и Facebook используют для обеспечения безопасности многофакторный анализ: с какого устройства осуществляется вход в аккаунт, в каком браузере, из какой страны и города, нет ли в действиях пользователя чего-то необычного и так далее. Аналогичные системы применяют и банки для выявления мошеннических транзакций.

Так что будущее, вероятно, именно за продвинутыми многофакторными решениями, позволяющими сохранить разумный баланс между удобством и безопасностью. Примером перспективных исследований в этой области может служить проект Abacus, обнародованный на недавней конференции Google I/O.

Новые проекты Google: #Soli, #Jacquard, #Vault и #Abacus. Что это и сделают ли они мир лучше? https://t.co/MD0JwqjZJo pic.twitter.com/c2UGzKOY8Z

— Kaspersky Lab (@Kaspersky_ru) June 22, 2015

В новой реальности вашу личность удостоверит не столько пароль, сколько куча разных мелких деталей: где вы, что делаете, как говорите и печатаете, как дышите, как бьется ваше сердце, сколько киберпротезов опознано в вашем теле и тому подобные данные. А сенсором и каналом передачи для всего этого, скорее всего, выступит ваш же смартфон.

Вот только один пример. Швейцарские исследователи предлагают использовать для дополнительной аутентификации окружающий пользователя фоновый шум.

Идея технологии Sound-Proof довольно проста. Когда вы пытаетесь залогиниться с персонального компьютера на каком-нибудь сайте, сервер отправляет запрос приложению на вашем смартфоне. В течение нескольких секунд компьютер и смартфон записывают звук и передают на сервер зашифрованный «отпечаток». Остается лишь сравнить их, чтобы удостовериться: в аккаунт входит именно владелец смартфона, а не злостный хакер из другого полушария.

How ambient sound can keep your data safe http://t.co/USgEnnDM0p pic.twitter.com/11c32HeiIK

— Popular Mechanics (@PopMech) August 18, 2015

Разумеется, и эта схема неидеальна. Например, злостный хакер может сидеть рядом с вами в ресторане, и фоновый звук окажется примерно одинаков. Здесь злоумышленника должны отсечь уже другие дискриминирующие факторы.

Впрочем, Sound-Proof и Abacus — проекты завтрашнего дня. Когда они дойдут до реальности, ситуация в интернет-безопасности тоже наверняка изменится: появятся новые вызовы и угрозы.

А сегодня просто не забудьте включить двухфакторную аутентификацию. Как это сделать для большинства популярных ресурсов, подробно расписано, например, на сайте Telesign Turn It On.

Чем отличается аутентификация от авторизации

Всем нам знакома процедура входа в собственный аккаунт в соцсети, онлайн-игре или электронной почте: сообщаем логин и пароль – получаем доступ к личной страничке. В Рунете и локализованных системах это часто называется авторизацией, что с технической точки зрения в корне неверно: нажатие Enter в форме ввода запускает два совершенно разных процесса – аутентификацию и авторизацию. При возникновении ошибок необходимо четко понимать, на каком этапе происходит сбой.

Определение

Аутентификация – прохождение проверки подлинности.

Авторизация – предоставление и проверка прав на совершение каких-либо действий в системе.

Естественно, и аутентификацию, и авторизацию используют не только в процессе получения доступа к сетевым аккаунтам. Автоматизированные системы, EDI, передача данных, пластиковые банковские карты – мы не один раз в день проходим эти процедуры в автоматическом режиме.

В англоязычных системах путаницы с терминологией не возникает: пользователь вообще не задумывается, чем отличается аутентификация от авторизации, ведь обе процедуры от его глаз скрыты. Предлагается «войти в систему» – «log in, logging in».

к содержанию ↑

Сравнение

Как проходит процедура аутентификации? Вот некий пользователь вознамерился прочитать свежий спам в своем электронном почтовом ящике. Он заходит на сайт почтового сервиса, читает рекламу и новости, но никаких писем ему пока не показывают – система не знает ни о его личности, ни о его намерениях. Когда в форму ввода логина и пароля он впишет свои «username/qwerty» и отправит эту информацию, начнется процесс аутентификации. Система проверит, существует ли пользователь с таким именем, совпадает ли введенный пароль с его учетной записью. Во многих случаях соответствия подобных идентификаторов достаточно, однако сервисы, где безопасность данных в приоритете, могут запрашивать и другие сведения: наличие сертификата, определенный IP-адрес или дополнительный код верификации.

Пройденная аутентификация означает, что пользователь действительно тот, кем представляется. Однако этого мало для предоставления ему доступа к данным – начинается процесс авторизации. В случае с почтовыми сервисами клиенты имеют равные права: каждый из них может просматривать письма и документы, редактировать их и создавать новые. А вот в социальных сетях или на форумах посетители принадлежат к определенной группе, и авторизация помогает системе определить, что позволено Юпитеру и не позволено быку. К примеру, у вас нет права писать сообщения пользователю, который добавил вас в черный список; вы не можете добавлять в сообщения ссылки на видео, пока не набрали определенное количество постов; вы можете просматривать фотографии человека, добавившего вас «в друзья». В локальных системах у учетной записи пользователя может не быть доступа к некоторым программам, стоять запрет на редактирование или копирование документов.

В процессе авторизации проверяется наличие прав на конкретные действия у владельца аккаунта или учетки. Это происходит не только во время входа в систему, но и при любой попытке совершить какие-либо манипуляции с данными. В этом состоит отличие аутентификации от авторизации: первая – процедура одноразовая для текущей сессии, вторую пользователь проходит постоянно перед запуском любого процесса.

Запомнить, в чем разница между аутентификацией и авторизацией, обычно позволяет аналогия с закрытыми объектами промышленных комплексов. При входе посетитель предъявляет удостоверение личности (ввод логина и пароля), а сотрудник охраны проверяет по базе данных, можно ли этого человека впустить. Если документ подлинный и фамилия есть в списке – вход на территорию объекта разрешен. Чтобы попасть в лабораторию, нужен один пропуск, в пресс-центр – другой, на вывоз мусора – третий. Служба безопасности проверяет право на доступ к объектам и разрешает или запрещает персоналу определенные действия. Так проходит авторизация.

Процесс аутентификации запускается пользователем при входе в систему: он предоставляет идентификационные данные, будь то пара логин/пароль, отпечаток пальца, установленный сертификат, карта и ее PIN-код. При этом возможны ошибки со стороны клиента. Авторизация запускается сервером автоматически, если аутентификация завершена успешно, и действия пользователя на данный процесс не влияют.

к содержанию ↑

Таблица

Аутентификация	Авторизация
Процедура проверки подлинности субъекта	Процедура присвоения и проверки прав на совершение определенных действий субъектом
Зависит от предоставляемой пользователем информации	Не зависит от действий клиента
Запускается один раз для текущей сессии	Происходит при попытке совершения любых действий пользователем

👥 Что такое AAA (аутентификация, авторизация и аккаунтинг)? – Information Security Squad

AAA (Authentication, Authorization and Accounting) или аутентификация, авторизация и аккаунтинг  – это термин, используемый для описания трех функций в ИТ.

В основном AAA используется для управления доступом к различным ИТ-ресурсам, таким как сеть, службы, сервера и т. д.

AAA состоит из 3 которых, каждый из которых выполняет свою функцию для обеспечения идеальной безопасности.

Что такое аутентификация?

Аутентификация – это процесс идентификации пользователя или инстанса.

Простым способом проверки пользователя обычно является предоставленные пользователем данные, которые как правило представляют собой имя пользователя и пароль.

Например, во время входа в Gmail нам потребуется ввести правильное существующее имя пользователя и пароль для аутентификации.

Аутентификация также важна для безопасности, поскольку без идентификации пользователей не будет никаких ограничений безопасности и связанных с ними ограничений.

Существуют также различные методы аутентификации, такие как сертификаты, открытые/закрытые ключи, токены, изображения и т. д., а также биометрия.

Аутентификация обычно требует прохождения одного метода проверки, но в последнее время для одной аутентификации могут использоваться несколько методов, которые обычно называются двухфакторной аутентификацией или многофакторной аутентификацией.  

Что такое авторизация?

Второй шаг в AAA – авторизация.

После аутентификации пользователя он должен быть авторизован в соответствии со своими привилегиями.

У пользователя низкого уровня не должно быть прав высокого уровня или уровня администратора.

Авторизация будет строго указывать и устанавливать права аутентифицированного пользователя.

Авторизация обычно использует уровни привилегий, которые помещают авторизованного пользователя в определенный уровень привилегий или группу пользователей, таких как пользователь, редактор, модератор, суперпользователь, администратор, чтобы управлять правами пользователей простым и легким способом.

Что такое аккаунтинг?

Когда пользователь аутентифицирован и успешно авторизован, он заходит в систему и ему предоставляется какой-то ресурс.

Пользователь будет использовать ресурсы сети, системы или службы в соответствии с предоставленными привилегиями.

При использовании этих ресурсов доступ пользователей регистрируется и сохраняется, что называется «Accounting», чтобы отслеживать действия пользователей.

TACACS и AAA

Tacacs или Tacacs+ – это протокол AAA, созданный Cisco для использования ее сетевых продуктов.

Tacacs – это первое поколение протокола, а Tacacs+ – это протокол AAA следующего поколения с расширенными функциями.

RADIUS и AAA

Radius – еще один протокол AAA, который предоставляет функции и службы, очень похожие на Tacac.

Radius – это открытый стандарт и широко используемый протокол, который определяется RFC.

LDAP и AAA

LDAP – еще один популярный протокол, обеспечивающий аутентификацию и авторизацию, связанный с AAA.

Популярный протокол LDAP обеспечивает аутентификацию и авторизацию открытым способом, который поддерживается множеством различных устройств, систем и программного обеспечения.

LDAP хранит информацию о пользователе, такую как имя пользователя, идентификатор, пароль, домашний каталог, сертификат и т. д., и проверяет аутентификацию с предоставленными учетными данными и возвращает результат.

LDAP также предоставляет пользователям информацию об авторизации.

Спонсор статьи – https://www.consult-soft.ru/1c-fresh/

В чем отличие идентификации от аутентификации? — КиберПедия

Идентификация (Identification) – это процедура распознавания пользователя по его идентификатору (имени). Она выполняется в 1-ю очередь, при попытке войти в сеть. Пользователь сообщает системе по ее запросу свой идентификатор, и система проверяет в своей базе данных его наличие.

Аутентификация (Authentication) – процедура проверки подлинности заявленного пользователя, процесса или устройства. Эта проверка позволяет достоверно убедиться, что пользователь (процесс или устройство) является именно тем, кем себя объявляет. При проведении аутентификации проверяющая сторона убеждается в подлинности проверяемой стороны, при этом проверяемая сторона тоже активно участвует в процессе обмена информацией. Обычно подтверждением идентификации, является уникальная, не известная другим информация – пароль или сертификат.

Идентификация и аутентификация являются взаимосвязанными процессами распознавания и проверки подлинности субъектов (пользователей). Именно от них зависит последующее решение системы, можно ли разрешить доступ к ресурсам системы конкретному пользователю или процессу. После идентификации и аутентификации субъекта выполняется его авторизация.

Авторизация (Authorization) – процедура предоставления субъекту определенных полномочий и ресурсов в данной системе (сферу его действия и доступные ему ресурсы). Если система не может надежно отличить авторизованное лицо от неавторизованного, конфиденциальность и целостность информации в этой системе могут быть нарушены.

Что такое шифрование, зашифрование, расшифрование?

Шифрование данных – процесс зашифрования и расшифрования данных.

Зашифрование данных – процесс преобразования открытых данных в зашифрованные с помощью шифра.

Криптограмма – результат шифрования открытого текста.

Расшифрование данных – процесс преобразования закрытых данных в открытые с помощью шифра.

Криптоанализ (дешифрование) – процесс преобразования закрытых данных в открытые при неизвестном ключе и, возможно, неизвестном алгоритме.

Что такое алгоритм шифрования?

Алгоритм шифрования – набор правил (инструкций), определяющих содержание и порядок операций по шифрованию и расшифрованию информации.

Какие бывают алгоритмы шифрования?

Симметричный – способ шифрования, в котором для шифрования и расшифровывания применяется один и тот же криптографический ключ. Примеры: DES, IDEA, AES, ГОСТ 28147-89. Ключ алгоритма должен сохраняться в секрете обеими сторонами. Алгоритм шифрования выбирается сторонами до начала обмена сообщениями.

Асимметричный – система шифрования и/или электронной подписи (ЭП), при которой используется пара ключей: открытый ключ передаётся по открытому каналу и используется для проверки ЭП и для шифрования сообщения. Для генерации ЭП и для расшифровки сообщения используется закрытый ключ. Примеры: RSA, DSA, ECC, ГОСТ Р 34.10-2012.

Что такое ключ шифрования?

Ключ шифрования – секретная информация, используемая криптографическим алгоритмом при шифровании/расшифровке сообщений, постановке и проверке цифровой подписи, вычислении кодов аутентичности.

Криптографический ключ (криптоключ) – совокупность данных, обеспечивающая выбор одного конкретного криптографического преобразования из числа всех возможных в данной криптографической системе (приказ ФАПСИ 2001 г. № 152).

Криптографические ключи различаются согласно алгоритмам, в которых они используются:

— симметричные ключи – ключи, используемые в симметричных алгоритмах (шифрование, выработка кодов аутентичности). Главное свойство симметричных ключей: для выполнения как прямого, так и обратного криптографического преобразования необходимо использовать один и тот же ключ. С одной стороны, это обеспечивает более высокую конфиденциальность сообщений, с другой стороны, создаёт проблемы распространения ключей в системах с большим количеством пользователей;

— асимметричные ключи – ключи, используемые в асимметричных алгоритмах (шифрование, ЭЦП). Более точно, они являются ключевой парой, поскольку состоят из двух ключей:

закрытый ключ – ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и цифровой подписи от имени заверяющего;

открытый ключ – ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа. Открытый ключ подписи вычисляется, как значение некоторой функции от закрытого ключа, но знание открытого ключа не дает возможности определить закрытый ключ.

Аутентификация: двухэтапная или двухфакторная? | Power Security

26
Январь 2018

Аутентификация: двухэтапная или двухфакторная?

Раздел: Статьи | Теги: аутентификация двухфакторная аутентификация многофакторная аутентификация строгая аутентификация

Если стандартной парольной проверки подлинности пользователя становится недостаточно, то в процесс аутентификации добавляют еще один шаг, чтобы она стала двухфакторной, или же полностью заменяют аутентификацию по паролям на что-то более приемлемое.

Рассмотрим возможные варианты.

Двухфакторной называется такая аутентификация, при которой производится проверка двух разных факторов. Обычно факторы аутентификации разделяют на: знание чего-то, обладание чем-то и биометрию. Например, нельзя назвать двухфакторной аутентификацией проверку пароля совмещенную с проверкой одноразового кода, присланного на электронную почту, если почта сама защищена только паролем. Ведь такая проверка подтвердит только знание пользователем двух паролей: от приложения/сервиса/сайта и от почты. Другими словами, это однотипные факторы. А двухфакторная аутентификация должна состоять из факторов разных типов. В противопоставление такому примеру — использование смарт карты с обязательным вводом PIN-кода вполне может считаться двухфакторной аутентификацией: первый фактор — владение смарт картой, а второй — знание PIN кода.

Есть еще одна тонкость, которая и является причиной написания этой статьи. Часто встречаются термины двухфакторная аутентификация и двухэтапная (двухшаговая) аутентификация. И очень часто между этими терминами ставят знак равенства. Однако это неверно и вот почему.

Двухэтапная аутентификация

При двухэтапной аутентификации есть два последовательных проверочных действия, но они выполняются последовательно друг за другом — по этапам. Примером такой двухэтапной аутентификации может быть встречающееся достаточно часто совмещение проверки пароля с последующей проверкой одноразового кода из SMS. После ввода статического пароля, приложение или сервер аутентификации проверяет его и в случае, если пароль был верным, отправляет SMS на привязанный номер. Этот метод аутентификации требует предварительную проверку пароля, так как для того, чтобы отправить SMS сообщение, нужно узнать, кому именно его отправлять. В качестве такого триггера на отправку сообщения используется событие успешной аутентификации по паролю.

Кроме того, двухэтапная аутентификация вообще не обязана сочетать разные факторы. Бывает и такое, что проверяются, например, два биометрических признака.

Про использование SMS для аутентификации Напомним, что метод аутентификации использующий SMS, в наше время рекомендовать для серьезной защиты уже неприлично. Слишком уж недорогие атаки на этот метод доступны злоумышленникам. А значит нет гарантии того, что правильно введенный код из SMS однозначно подтверждает владение телефоном (SIM-картой). NIST [не рекомендует] в будущих разработках использовать этот метод. Всегда нужно помнить, что защита должна соответствовать угрозам и потенциальному ущербу. В некоторых случаях SMS может быть удобным способом доставки второго фактора и адекватным угрозам, например, когда речь не идет о доступе к финансам или приватной информации, и потенциальный негативный эффект от атаки очень низкий.

Двухфакторная аутентификация

Двухфакторная аутентификация отличается от двухэтапной тем, что результат проверки двух факторов становится известен только после предоставления обоих факторов. Таким образом достигается невозможность атаки на факторы аутентификации по отдельности. Злоумышленник уже не может подбирать отдельно пароль, делая вывод об успехе результата по ответу вроде такого: «Теперь введите одноразовый код из SMS».

Если надежность двухэтапной аутентификации условно можно ограничить сверху трудностью взлома самого стойкого своего этапа аутентификации, то компрометация двухфакторной аутентификации на порядок сложнее.

Вместо заключения

Возможно эта статья натолкнет на мысль разработчиков систем аутентификации на основе SMS, что лучше чтобы формы аутентификации всегда выдавали одно и тоже сообщение после первого фактора (обычно, проверки статического пароля) с предложением предоставить код из SMS. Но само сообщение с кодом можно все-таки отправлять только в случае успешного ввода этого первого фактора. А чтобы не лишаться возможности информировать пользователя о неудачно введенном пароле, можно просто написать, что если не пришло SMS, то, вероятно, пароль введен неверно.

Теги: аутентификациядвухфакторная аутентификациямногофакторная аутентификациястрогая аутентификация

Опубликовать в Twitter Опубликовать в Facebook

Разница между аутентификацией и авторизацией

Оба термина часто используются в сочетании друг с другом с точки зрения безопасности, особенно когда речь идет о получении доступа к системе. Оба являются очень важными темами, которые часто ассоциируются с Интернетом как ключевыми частями инфраструктуры его услуг. Однако оба термина очень разные и имеют совершенно разные концепции. Хотя это правда, что они часто используются в одном контексте с одним и тем же инструментом, они полностью отличаются друг от друга.

Аутентификация означает подтверждение вашей личности, а авторизация означает предоставление доступа к системе. Проще говоря, аутентификация — это процесс проверки того, кем вы являетесь, а авторизация — это процесс проверки того, к чему у вас есть доступ.

Аутентификация

Аутентификация — это проверка ваших учетных данных, таких как имя пользователя / идентификатор пользователя и пароль, для подтверждения вашей личности. Система определяет, являетесь ли вы тем, о чем говорите, используя свои учетные данные.В общедоступных и частных сетях система аутентифицирует личность пользователя с помощью паролей для входа. Аутентификация обычно выполняется с помощью имени пользователя и пароля, а иногда и в сочетании с факторами аутентификации, которые относятся к различным способам аутентификации.

Факторы аутентификации определяют различные элементы, которые система использует для проверки личности перед предоставлением ему доступа к чему-либо, от доступа к файлу до запроса банковской транзакции. Личность пользователя может быть определена по тому, что он знает, что у него есть или что он собой представляет.Когда дело доходит до безопасности, по крайней мере, два или все три фактора аутентификации должны быть проверены, чтобы предоставить кому-либо доступ к системе.

В зависимости от уровня безопасности коэффициент аутентификации может варьироваться от одного из следующих:

• Однофакторная Аутентификация — это простейший метод аутентификации, который обычно основан на простом пароле для предоставления пользователю доступа к определенной системе, такой как веб-сайт или сеть. Человек может запросить доступ к системе, используя только одну из учетных данных для подтверждения своей личности.Наиболее распространенный пример однофакторной аутентификации — это учетные данные для входа, для которых требуется только пароль от имени пользователя.
• Двухфакторная аутентификация — Как следует из названия, это двухэтапный процесс проверки, который требует не только имени пользователя и пароля, но и того, что знает только пользователь, для обеспечения дополнительного уровня безопасности, например PIN-код банкомата. , который знает только пользователь. Использование имени пользователя и пароля вместе с дополнительной конфиденциальной информацией делает практически невозможным кражу ценных данных мошенниками.
• Многофакторная аутентификация — это наиболее продвинутый метод аутентификации, который использует два или более уровня безопасности из независимых категорий аутентификации для предоставления пользователю доступа к системе. Все факторы должны быть независимыми друг от друга, чтобы исключить любую уязвимость в системе. Финансовые организации, банки и правоохранительные органы используют многофакторную аутентификацию для защиты своих данных и приложений от потенциальных угроз.

Например, когда вы вводите свою карту банкомата в банкомат, автомат просит вас ввести свой пин-код.После того, как вы правильно введете пин-код, банк подтвердит вашу личность, что карта действительно принадлежит вам и вы являетесь ее законным владельцем. Подтверждая PIN-код вашей карты банкомата, банк фактически подтверждает вашу личность, что называется аутентификацией. Он просто идентифицирует вас, и ничего больше.

Авторизация

С другой стороны, авторизация

происходит после того, как ваша личность была успешно аутентифицирована системой, что в конечном итоге дает вам полное разрешение на доступ к таким ресурсам, как информация, файлы, базы данных, фонды, местоположения, почти все.Проще говоря, авторизация определяет вашу способность доступа к системе и до какой степени. После того, как ваша личность будет подтверждена системой после успешной аутентификации, вы получите доступ к ресурсам системы.

Авторизация — это процесс определения, имеет ли аутентифицированный пользователь доступ к определенным ресурсам. Он проверяет ваши права на предоставление вам доступа к таким ресурсам, как информация, базы данных, файлы и т. Д. Авторизация обычно происходит после аутентификации, которая подтверждает ваши права на выполнение.Проще говоря, это все равно что дать кому-то официальное разрешение что-то или что-то делать.

Например, процесс проверки и подтверждения идентификаторов и паролей сотрудников в организации называется аутентификацией, а определение того, какой сотрудник имеет доступ к какому этажу, называется авторизацией. Допустим, вы путешествуете и собираетесь сесть на самолет. Когда вы показываете свой билет и удостоверение личности перед регистрацией, вы получаете посадочный талон, подтверждающий, что администрация аэропорта проверила вашу личность. Но это не так. Стюардесса должна разрешить вам сесть на рейс, которым вы должны лететь, чтобы вы могли получить доступ к внутренней части самолета и его ресурсам.

Доступ к системе защищен как аутентификацией, так и авторизацией. Любая попытка доступа к системе может быть аутентифицирована путем ввода действительных учетных данных, но она может быть принята только после успешной авторизации. Если попытка аутентифицирована, но не авторизована, система откажет в доступе к системе.

Аутентификация	Разрешение
Аутентификация подтверждает вашу личность для предоставления доступа к системе.	Авторизация определяет, есть ли у вас право доступа к ресурсам.
Это процесс проверки учетных данных пользователя для получения доступа.	Это процесс проверки, разрешен ли доступ.
Определяет, является ли пользователь тем, кем он себя называет.	Определяет, какой пользователь может получить доступ, а какие нет.
Для аутентификации обычно требуется имя пользователя и пароль.	Факторы аутентификации, необходимые для авторизации, могут различаться в зависимости от уровня безопасности.
Аутентификация — это первый шаг авторизации, поэтому всегда идет первым.	Авторизация выполняется после успешной аутентификации.
Например, студенты определенного университета должны пройти аутентификацию, прежде чем перейти по ссылке для студентов на официальном сайте университета.Это называется аутентификацией.	Например, авторизация определяет, к какой информации студенты имеют право доступа на веб-сайте университета после успешной аутентификации.

Сводка

Хотя оба термина часто используются в сочетании друг с другом, они имеют совершенно разные концепции и значения. Хотя обе концепции имеют решающее значение для инфраструктуры веб-сервисов, особенно когда речь идет о предоставлении доступа к системе, понимание каждого термина в отношении безопасности является ключевым. Хотя большинство из нас путает один термин с другим, важно понимать ключевое различие между ними, что на самом деле очень просто. Если аутентификация — это то, кем вы являетесь, авторизация — это то, что вы можете получить и изменить. Проще говоря, аутентификация определяет, является ли кто-то тем, кем он себя называет. С другой стороны, авторизация определяет его права на доступ к ресурсам.

Сагар Хиллар — плодовитый автор контента / статей / блогов, работающий старшим разработчиком / писателем контента в известной фирме по обслуживанию клиентов, базирующейся в Индии.У него есть желание исследовать самые разные темы и разрабатывать высококачественный контент, чтобы его можно было лучше всего читать. Благодаря своей страсти к писательству, он имеет более 7 лет профессионального опыта в написании и редактировании услуг на самых разных печатных и электронных платформах.

Вне своей профессиональной жизни Сагар любит общаться с людьми из разных культур и происхождения. Можно сказать, что он любопытен по натуре. Он считает, что каждый — это опыт обучения, и это приносит определенное волнение, своего рода любопытство, чтобы продолжать работать.Поначалу это может показаться глупым, но через некоторое время это расслабит вас и поможет вам начать разговор с совершенно незнакомыми людьми — вот что он сказал ».

Последние сообщения Сагара Хиллара (посмотреть все)

: Если вам понравилась эта статья или наш сайт. Пожалуйста, расскажите об этом. Поделитесь им с друзьями / семьей.

Cite
Сагар Хиллар. «Разница между аутентификацией и авторизацией». DifferenceBetween.net. 18 октября 2019.

Разница между аутентификацией и авторизацией (со сравнительной таблицей)

Аутентификация и авторизация используются в отношении информационной безопасности, что обеспечивает безопасность в автоматизированной информационной системе.Термины взаимозаменяемы, но различны. Личность человека подтверждается аутентификацией. С другой стороны, авторизация проверяет список доступа, который есть у аутентифицированного лица. Другими словами, авторизация включает в себя разрешения, которые предоставил человек.

Содержимое: аутентификация против авторизации

1. Сравнительная таблица
2. Определение
3. Ключевые отличия
4. Заключение

Таблица сравнения

Основа для сравнения	Аутентификация	Авторизация
Базовый	Проверяет личность человека для предоставления доступа к системе.	Проверяет права или разрешения пользователя на доступ к ресурсам.
Включает процесс	Проверка учетных данных пользователя.	Проверка разрешений пользователя.
Порядок работы	Аутентификация выполняется на самом первом этапе.	Авторизация обычно выполняется после аутентификации.
Примеры	В приложениях онлайн-банкинга личность человека сначала определяется с помощью идентификатора пользователя и пароля.	В многопользовательской системе администратор решает, какие привилегии или права доступа есть у каждого пользователя.

Определение аутентификации

Аутентификация Механизм определяет личность пользователя до раскрытия конфиденциальной информации. Это очень важно для системы или интерфейсов, где приоритетом пользователя является защита конфиденциальной информации. В процессе пользователь делает доказуемое утверждение об индивидуальной идентичности (его или ее) или личности объекта.

Учетными данными или заявлением могут быть имя пользователя, пароль, отпечаток пальца и т. Д. Проблемы аутентификации и неотказуемости обрабатываются на уровне приложения. Неэффективный механизм аутентификации может существенно повлиять на доступность службы.

Пример:

Например, отправитель A отправляет электронный документ получателю B через Интернет. Как система определяет, что отправитель A отправил сообщение, предназначенное получателю B. Злоумышленник C может перехватить, изменить и воспроизвести документ, чтобы обмануть или украсть информацию, этот тип атаки называется , фабрикация .

В данной ситуации механизм аутентификации обеспечивает две вещи; Во-первых, он гарантирует, что отправитель и получатель являются праведными людьми, и известен как аутентификация источника данных . Во-вторых, он обеспечивает безопасность установленного соединения между отправителем и получателем с помощью секретного сеансового ключа, чтобы его нельзя было вывести, и он известен как аутентификация однорангового объекта .

Определение полномочий

Авторизация Метод используется для определения разрешений, которые предоставляются аутентифицированному пользователю. Проще говоря, он проверяет, разрешен ли пользователю доступ к определенным ресурсам или нет. Авторизация происходит после аутентификации, когда личность пользователя подтверждается до того, как список доступа для пользователя определяется путем поиска записей, хранящихся в таблицах и базах данных.

Пример:

Например, пользователь X хочет получить доступ к определенному файлу с сервера.Пользователь отправит запрос на сервер. Сервер проверит личность пользователя. Затем он находит соответствующие привилегии, которые есть у аутентифицированного пользователя, а также определяет, разрешен ли ему / ей доступ к этому конкретному файлу или нет. В следующем случае права доступа могут включать просмотр, изменение или удаление файла, если у пользователя есть полномочия для выполнения следующих операций.

Ключевые различия между аутентификацией и авторизацией

1. Аутентификация используется для проверки личности пользователя, чтобы разрешить доступ к системе.С другой стороны, авторизация определяет, кто и к чему должен иметь доступ.
2. В процессе аутентификации проверяются учетные данные пользователя, тогда как в процессе авторизации проверяется список доступа аутентифицированного пользователя.
3. Первый процесс — аутентификация, затем авторизация.
4. Возьмем для примера услуги онлайн-банкинга. Когда пользователь хочет получить доступ к услуге, личность пользователя определяется, чтобы гарантировать, что человек является праведным человеком, за которого он / она себя называет.После идентификации пользователя аутентификация включает авторизацию, которая определяет, что пользователю разрешено делать. Здесь пользователь авторизуется для доступа к своей учетной записи онлайн после аутентификации.

Заключение

Аутентификация и авторизация — это меры безопасности, принимаемые для защиты данных в информационной системе. Аутентификация — это процесс проверки личности человека, приближающегося к системе. С другой стороны, авторизация — это процесс проверки привилегий или списка доступа, для которых человек авторизован.

Определение аутентификации и авторизации: в чем разница? [Инфографика]

По мере того, как предприятия продвигаются к цифровой зрелости во времена надежных облачных систем и строгой сетевой безопасности, аутентификация , и авторизация , используются вместе (также, часто взаимозаменяемо) друг с другом.

Хотя оба термина кажутся похожими, они относятся к совершенно разным процессам безопасности. В рамках управления идентификацией клиентов и доступом (CIAM) аутентификация проверяет личность пользователя, а авторизация проверяет, имеет ли пользователь доступ для выполнения определенной функции.

Другими словами, аутентификация — это идентификация пользователей путем подтверждения того, кем они являются, а авторизация — это процесс установления прав и привилегий пользователя.

Оба процесса играют одинаково важные роли в защите конфиденциальных данных от взломов и несанкционированного доступа.

Здесь мы расскажем, как они определяются и что отличает одно от другого.

Что такое аутентификация

Аутентификация — это процесс идентификации пользователей и подтверждения того, кем они себя называют.Один из наиболее распространенных и очевидных факторов аутентификации личности — это пароль. Если имя пользователя совпадает с паролем, это означает, что идентификатор действителен, и система предоставляет пользователю доступ.

Интересно, что в связи с отказом предприятий от паролей многие используют современные методы аутентификации, такие как одноразовые коды доступа (OTP) через SMS или электронную почту, единый вход (SSO), многофакторную аутентификацию (MFA), биометрию и т. Д. Для аутентификации. пользователей и развернуть безопасность сверх того, что обычно обеспечивают пароли.

Что такое авторизация

Авторизация происходит после успешной аутентификации пользователя. Речь идет о предоставлении прав полного или частичного доступа к таким ресурсам, как база данных, фонды и другой критически важной информации, для выполнения работы.

В организации, например, после проверки и подтверждения сотрудника с помощью аутентификации по идентификатору и паролю следующим шагом будет определение того, к каким ресурсам сотрудник будет иметь доступ.

Аутентификация и Авторизация: понимание методов

IAM-администраторы должны понимать суть использования как аутентификации, так и авторизации, а также то, чем одно отличается от другого.

Например, организация разрешит всем своим сотрудникам получить доступ к своим системам рабочего места (это аутентификация!). Но тогда не каждый будет иметь право на доступ к его закрытым данным (это авторизация!).

Внедрение аутентификации с использованием правильных методов авторизации может защитить организации, а упрощенный доступ позволит повысить производительность труда сотрудников.

Вот общие методы аутентификации и авторизации, используемые решениями CIAM.

Однако обратите внимание, что такие технологии, как JWT, SAML, авторизация OpenID и OAuth, используются как для аутентификации, так и для авторизации.

Популярные методы аутентификации

• Аутентификация на основе пароля — это простой метод аутентификации, требующий пароля для проверки личности пользователя.
• Аутентификация без пароля — это проверка пользователя с помощью OTP или волшебной ссылки, доставляемой на зарегистрированный адрес электронной почты или номер телефона.
• 2FA / MFA требует более одного уровня безопасности, например дополнительного PIN-кода или секретного вопроса, для идентификации пользователя и предоставления доступа к системе.
• Единый вход (SSO) позволяет пользователям получать доступ к нескольким приложениям с одним набором учетных данных.
• Социальная аутентификация проверяет и аутентифицирует пользователей с существующими учетными данными из платформ социальных сетей.

Популярные методы авторизации

• Управление доступом на основе ролей (RBAC) может быть реализовано для межсистемного и межсистемного управления привилегиями.
• Веб-токен JSON (JWT) — это открытый стандарт для безопасной передачи данных между сторонами, и пользователи авторизуются с помощью пары открытого / закрытого ключей.
• SAML — это стандартный формат единого входа (SSO), в котором аутентификационная информация обменивается через документы XML, подписанные цифровой подписью.
• Авторизация OpenID проверяет личность пользователя на основе аутентификации сервера авторизации.
• OAuth позволяет API аутентифицировать и получать доступ к запрошенной системе или ресурсу.

Чтобы узнать больше об аутентификации и авторизации — концепции, различиях и методах, ознакомьтесь с инфографикой, созданной LoginRadius.

Реализация управления идентификацией и доступом с помощью LoginRadius

Централизованные решения для управления идентификацией и доступом могут играть важную роль в обеспечении надежной аутентификации и авторизации для пользователей в рамках организационной структуры.

Облачное решение CIAM, такое как LoginRadius, проверяет достоверные удостоверения пользователей и автоматизирует привилегии и права на основе заранее определенных ролей.

Что еще? Отсутствие необходимости вручную определять разрешения экономит время, сокращает количество невыполненных работ и обеспечивает беспроблемное взаимодействие с пользователем.

Кроме того, с LoginRadius возможности для оптимизации CIAM безграничны. Это также включает защиту доступа к привилегированным ресурсам и защиту ИТ-инфраструктуры от кибератак.

*** Это синдицированный блог Security Bloggers Network из блога Identity, автором которого является lrshivangini. Прочтите исходный пост по адресу: https: //www.loginradius.com / blog / 2020/06 / authentication-vs-authorization-infographic /

Разница между аутентификацией и авторизацией с помощью сравнительной таблицы

регистр Авторизоваться

Python Фотошоп SAP Ява PHP Android C ++ Hadoop Oracle Вопросы на собеседовании Статьи Другие ☰ ГлавнаяРазличие между маркетингом и продажамиОшибка почтового сервера # 007Разница между маршрутизатором и SwitchWebP в JPGКак сделать снимок экрана в Windows 10 Padding vs MarginTableau vs Power BIPython vs RubyРазличия между функциями Malloc и Calloc в C LanguageVisa vs MastercardGDP vs GNPMutex vs SemaphoreРазница между Thread Разработчик vs инженер-программист Разница между SRAM и DRAM Разница между микропроцессором и микроконтроллером Разница между Ienumerable и Iqueryable Разница между JSP и сервлетом OLTP против OLAP Разница между Hub и Switch Значения ASCII в CMBR против GPTBitdefender против AvastXero D и баз данных Разница между AC и базой данных Кнопка LinkЧто такое масштабирование графического процессораHMO vs.PPODiploma vs. DegreeРазница между FOR и WHILE LoopFireCuda vs BarraCudaIaaS vs PaaS vs SaaSWoocommerce vs ShopifyDeadlock в OSKubernetes vs DockerРазличие между системным программным обеспечением и прикладным программным обеспечениемРазличие между структурой и объединением в CDРазличие между StringBuffer и WaterScript Между данными и информацией Разница между датчиком и преобразователем Типы серверовDDL и DML Разница между GSM и CDMAD Разница между NFA и DFAD Разница между SQL и PLSQLKotlin против JavaArduino против Raspberry PiBitTorrent против UtorrentРазличие между аналоговым и цифровым сигналом IaaS против PaaSTackV в сравнении с IPA и последовательные схемы Разница между счетом-фактурой и счетом Разница между NEFT и RTGS Разница между представлением и материализованным представлением SOA и микросервисами Различие между Alpha и бета-тестированиеРазличие между DELETE и TRUNCATEDРазличие между Интернетом и интрасетьюРазличие между абстракцией и инкапсуляциейРазличие между Spring MVC и Spring bootРазличие между RAM и ROM Цвет фона HTMLКруглое планированиеРазличие между коммутацией каналов и коммутацией пакетовИллюстратор против PhotoshopCooISD Различие между Micro и ShopifyКоммутация и Macro Economics Сервер и сервер приложений Разница между Windows и Linux DDR3 против DDR4 VirtualBox против VMwareXero против Q

Аутентификация против авторизации — платформа идентификации Microsoft

• 22.05.2020
• 3 минуты на чтение

В этой статье

В этой статье дается определение аутентификации и авторизации и кратко рассказывается, как можно использовать платформу идентификации Microsoft для аутентификации и авторизации пользователей в ваших веб-приложениях, веб-API или приложениях, вызывающих защищенные веб-API.Если вы видите термин, который вам не знаком, попробуйте наш глоссарий или наши видеоролики о платформе идентификации Microsoft, которые охватывают основные понятия.

Аутентификация

Аутентификация — это процесс подтверждения того, что вы являетесь тем, кем себя называете. Аутентификацию иногда сокращают до AuthN. Платформа идентификации Microsoft реализует протокол OpenID Connect для обработки аутентификации.

Авторизация

Авторизация — это действие по предоставлению авторизованной стороне разрешения на что-либо.Он определяет, к каким данным вам разрешен доступ и что вы можете делать с этими данными. Авторизация иногда сокращается до AuthZ. Платформа идентификации Microsoft реализует протокол OAuth 2.0 для обработки авторизации.

Аутентификация и авторизация с использованием платформы идентификации Microsoft

Вместо того, чтобы создавать приложения, каждое из которых поддерживает свое собственное имя пользователя и пароль, что влечет за собой высокую административную нагрузку, когда вам нужно добавлять или удалять пользователей в нескольких приложениях, приложения могут делегировать эту ответственность централизованному поставщику удостоверений.

Azure Active Directory (Azure AD) — это централизованный поставщик удостоверений в облаке. Делегирование ему аутентификации и авторизации позволяет использовать такие сценарии, как политики условного доступа, которые требуют, чтобы пользователь находился в определенном месте, использование многофакторной аутентификации (иногда называемой двухфакторной аутентификацией или 2FA), а также включение пользователя чтобы войти в систему один раз, а затем автоматически войти во все веб-приложения, которые используют один и тот же централизованный каталог. Эта возможность называется Single Sign On (SSO) .

Платформа идентификации

Microsoft упрощает авторизацию и аутентификацию для разработчиков приложений, предоставляя идентификацию как услугу, с поддержкой отраслевых стандартных протоколов, таких как OAuth 2.0 и OpenID Connect, а также библиотек с открытым исходным кодом для различных платформ, которые помогут вам быстро начать кодирование. Он позволяет разработчикам создавать приложения, которые выполняют вход во все удостоверения Microsoft, получают токены для вызова Microsoft Graph, других API Microsoft или API, созданных разработчиками.

Ниже приводится краткое сравнение различных протоколов, используемых платформой идентификации Microsoft:

• OAuth против OpenID Connect : OAuth используется для авторизации, а OpenID Connect (OIDC) используется для аутентификации.OpenID Connect построен на основе OAuth 2.0, поэтому терминология и порядок действий у них схожи. Вы даже можете как аутентифицировать пользователя (используя OpenID Connect), так и получить авторизацию для доступа к защищенному ресурсу, которым владеет пользователь (используя OAuth 2.0), в одном запросе. Для получения дополнительной информации см. Протоколы OAuth 2.0 и OpenID Connect и протокол OpenID Connect.
• OAuth против SAML : OAuth используется для авторизации, а SAML — для аутентификации. См. Платформу идентификации Microsoft и OAuth 2.0 Поток утверждения носителя SAML для получения дополнительной информации о том, как эти два протокола могут использоваться вместе как для аутентификации пользователя (с использованием SAML), так и для получения авторизации для доступа к защищенному ресурсу (с использованием OAuth 2.0).
• OpenID Connect против SAML : OpenID Connect и SAML используются для аутентификации пользователя и используются для включения единого входа. Проверка подлинности SAML обычно используется с поставщиками удостоверений, такими как службы федерации Active Directory (ADFS), интегрированные в Azure AD, и поэтому часто используется в корпоративных приложениях.OpenID Connect обычно используется для приложений, которые находятся исключительно в облаке, таких как мобильные приложения, веб-сайты и веб-API.

Следующие шаги

Для других тем, посвященных основам аутентификации и авторизации:

Концепции аутентификации Windows

| Документы Microsoft

• 12.10.2016
• 11 минут на чтение

В этой статье

Применимо к: Windows Server (полугодовой канал), Windows Server 2016

Этот справочный обзорный раздел описывает концепции, на которых основана проверка подлинности Windows.

Аутентификация — это процесс проверки личности объекта или человека. Когда вы аутентифицируете объект, цель состоит в том, чтобы убедиться, что объект подлинный. Когда вы аутентифицируете человека, цель состоит в том, чтобы убедиться, что этот человек не самозванец.

В сетевом контексте аутентификация — это акт подтверждения идентичности сетевого приложения или ресурса. Как правило, идентичность подтверждается криптографической операцией, в которой используется либо ключ, известный только пользователю (как в случае криптографии с открытым ключом), либо общий ключ.Серверная сторона аутентификационного обмена сравнивает подписанные данные с известным криптографическим ключом, чтобы подтвердить попытку аутентификации.

Хранение криптографических ключей в безопасном центральном месте делает процесс аутентификации масштабируемым и поддерживаемым. Active Directory — это рекомендуемая технология по умолчанию для хранения идентификационной информации, которая включает криптографические ключи, которые являются учетными данными пользователя. Active Directory требуется для реализации NTLM и Kerberos по умолчанию.

Методы аутентификации

варьируются от простого входа в операционную систему или входа в службу или приложение, которое идентифицирует пользователей на основе чего-то, что знает только пользователь, например пароля, до более мощных механизмов безопасности, использующих то, что у пользователя есть такие токены, сертификаты открытых ключей, изображения или биологические атрибуты. В бизнес-среде пользователи могут получить доступ к нескольким приложениям на многих типах серверов в одном месте или в нескольких местах.По этим причинам проверка подлинности должна поддерживать среды для других платформ и других операционных систем Windows.

Аутентификация и авторизация: аналогия путешествия

Аналогия с путешествием может помочь объяснить, как работает аутентификация. Чтобы начать путешествие, обычно необходимо выполнить несколько подготовительных задач. Путешественник должен подтвердить свою истинную личность властям принимающей страны. Это доказательство может быть в форме доказательства гражданства, места рождения, личного ваучера, фотографий или любого другого документа, который требуется по закону принимающей страны.Личность путешественника подтверждается выдачей паспорта, который аналогичен системной учетной записи, выпущенной и управляемой организацией — принципалом безопасности. Паспорт и предполагаемый пункт назначения основаны на своде правил и положений, издаваемых государственным органом.

Путешествие

Когда путешественник прибывает на международную границу, пограничник запрашивает учетные данные, и путешественник представляет свой паспорт. Процесс состоит из двух частей:

• Охранник подтверждает подлинность паспорта, проверяя, что он был выдан органом безопасности, которому местное правительство доверяет (доверяет, по крайней мере, выдачу паспортов), и подтверждая, что паспорт не был изменен.

• Охранник аутентифицирует путешественника, проверяя, что его лицо совпадает с лицом человека, изображенного в паспорте, и что другие необходимые учетные данные в порядке.

Если паспорт окажется действительным и путешественник окажется его владельцем, проверка подлинности будет успешной, и путешественнику будет разрешен доступ через границу.

Транзитивное доверие между органами безопасности — основа аутентификации; Тип аутентификации, который происходит на международной границе, основан на доверии.Местное правительство не знает путешественника, но доверяет правительству принимающей страны. Когда правительство принимающей страны выдало паспорт, оно также не знало путешественника. Он доверял агентству, выдавшему свидетельство о рождении или другую документацию. Агентство, выдавшее свидетельство о рождении, в свою очередь, доверяло врачу, подписавшему свидетельство. Врач засвидетельствовал рождение путешественника и проштамповал свидетельство с прямым удостоверением личности, в данном случае со следом новорожденного.Доверие, передаваемое таким образом через доверенных посредников, является транзитивным.

Транзитивное доверие — это основа сетевой безопасности в архитектуре клиент / сервер Windows. Отношения доверия проходят через набор доменов, например дерево доменов, и формируют отношения между доменом и всеми доменами, которые доверяют этому домену. Например, если домен A имеет транзитивное доверие с доменом B, и если домен B доверяет домену C, то домен A доверяет домену C.

Есть разница между аутентификацией и авторизацией.С помощью аутентификации система доказывает, что вы тот, кем себя называете. При авторизации система подтверждает, что у вас есть права делать то, что вы хотите делать. Если провести аналогию с границей для следующего шага, простое подтверждение того, что путешественник является надлежащим владельцем действующего паспорта, не обязательно дает ему разрешение на въезд в страну. Жителям определенной страны разрешается въезд в другую страну, просто предъявив паспорт, только в ситуациях, когда страна, в которую въезжают, предоставляет неограниченное разрешение на въезд всем гражданам этой конкретной страны.

Аналогичным образом вы можете предоставить всем пользователям определенного домена права доступа к ресурсу. Любой пользователь, принадлежащий к этому домену, имеет доступ к ресурсу, так же как Канада позволяет гражданам США въезжать в Канаду. Однако граждане США, пытающиеся въехать в Бразилию или Индию, обнаруживают, что они не могут въехать в эти страны, просто предъявив паспорт, потому что обе эти страны требуют, чтобы граждане США посещали США при наличии действующей визы. Таким образом, аутентификация не гарантирует доступа к ресурсам или авторизации на использование ресурсов.

Учетные данные

Паспорт и, возможно, связанные с ним визы являются принятыми учетными данными для путешественника. Однако эти учетные данные могут не позволять путешественнику входить или получать доступ ко всем ресурсам в стране. Например, для посещения конференции требуются дополнительные учетные данные. В Windows можно управлять учетными данными, чтобы владельцы учетных записей могли получать доступ к ресурсам по сети без необходимости повторно указывать свои учетные данные. Этот тип доступа позволяет пользователям один раз пройти аутентификацию системой для доступа ко всем приложениям и источникам данных, которые им разрешено использовать, без ввода другого идентификатора учетной записи или пароля.Платформа Windows использует возможность использования единого идентификатора пользователя (поддерживаемого Active Directory) в сети путем локального кэширования учетных данных пользователя в Local Security Authority (LSA) операционной системы. Когда пользователь входит в домен, пакеты проверки подлинности Windows прозрачно используют учетные данные для обеспечения единого входа при аутентификации учетных данных для сетевых ресурсов. Дополнительные сведения об учетных данных см. В разделе Процессы учетных данных при проверке подлинности Windows.

Формой многофакторной аутентификации для путешественника может быть требование иметь при себе и предъявлять несколько документов для аутентификации его личности, таких как паспорт и информация о регистрации на конференции. Windows реализует эту форму проверки подлинности с помощью смарт-карт, виртуальных смарт-карт и биометрических технологий.

Участники безопасности и учетные записи

В Windows любой пользователь, служба, группа или компьютер, который может инициировать действие, является субъектом безопасности.Участники безопасности имеют учетные записи, которые могут быть локальными для компьютера или основанными на домене. Например, компьютеры, подключенные к домену клиента Windows, могут участвовать в сетевом домене, связываясь с контроллером домена, даже если в систему не вошел пользователь-человек. Чтобы инициировать обмен данными, компьютер должен иметь активную учетную запись в домене. Перед тем как принимать сообщения от компьютера, локальный орган безопасности на контроллере домена проверяет подлинность компьютера, а затем определяет контекст безопасности компьютера так же, как это было бы для участника безопасности человека.Этот контекст безопасности определяет личность и возможности пользователя или службы на конкретном компьютере или пользователя, службы, группы или компьютера в сети. Например, он определяет ресурсы, такие как общий файловый ресурс или принтер, к которым можно получить доступ, и действия, такие как чтение, запись или изменение, которые могут выполняться пользователем, службой или компьютером на этом ресурсе. Для получения дополнительной информации см. Принципы безопасности.

Учетная запись — это средство идентификации заявителя — человека или службы, запрашивающего доступ или ресурсы.Путешественник, имеющий подлинный паспорт, имеет счет в стране пребывания. Пользователи, группы пользователей, объекты и службы могут иметь отдельные учетные записи или общие учетные записи. Учетные записи могут быть членами групп и им могут быть назначены определенные права и разрешения. Учетные записи могут быть ограничены локальным компьютером, рабочей группой, сетью или быть назначены членством в домене.

Встроенные учетные записи и группы безопасности, членами которых они являются, определены в каждой версии Windows.Используя группы безопасности, вы можете назначить одни и те же разрешения безопасности многим пользователям, которые успешно прошли проверку подлинности, что упрощает администрирование доступа. Правила выдачи паспортов могут требовать, чтобы путешественник был отнесен к определенным группам, таким как деловые, туристические или государственные. Этот процесс обеспечивает согласованные разрешения безопасности для всех членов группы. Использование групп безопасности для назначения разрешений означает, что контроль доступа к ресурсам остается постоянным и простым в управлении и аудите.Добавляя и удаляя пользователей, которым требуется доступ из соответствующих групп безопасности по мере необходимости, вы можете минимизировать частоту изменений в списках управления доступом (ACL).

Автономные управляемые учетные записи служб и виртуальные учетные записи были введены в Windows Server 2008 R2 и Windows 7 для обеспечения необходимых приложений, таких как Microsoft Exchange Server и Internet Information Services (IIS), с изоляцией их собственных учетных записей домена, устраняя при этом необходимость в администратор должен вручную администрировать имя участника-службы (SPN) и учетные данные для этих учетных записей.Групповые управляемые учетные записи служб были введены в Windows Server 2012 и предоставляют те же функции в домене, но также расширяют эту функциональность на несколько серверов. При подключении к службе, размещенной на ферме серверов, такой как балансировка сетевой нагрузки, протоколы проверки подлинности, поддерживающие взаимную проверку подлинности, требуют, чтобы все экземпляры служб использовали одного и того же участника.

Для получения дополнительной информации об учетных записях см .:

Делегированная аутентификация

Если использовать аналогию с поездкой, страны могут предоставить одинаковый доступ всем членам официальной правительственной делегации при условии, что делегаты хорошо известны.Это делегирование позволяет одному члену действовать от имени другого члена. В Windows делегированная проверка подлинности происходит, когда сетевая служба принимает запрос проверки подлинности от пользователя и принимает личность этого пользователя, чтобы инициировать новое подключение ко второй сетевой службе. Для поддержки делегированной аутентификации необходимо установить интерфейсные серверы или серверы первого уровня, такие как веб-серверы, которые отвечают за обработку запросов аутентификации клиентов, а также внутренние или многоуровневые серверы, такие как большие базы данных, которые отвечают за хранение Информация.Вы можете делегировать право настройки делегированной аутентификации пользователям в вашей организации, чтобы снизить административную нагрузку на администраторов.

Установив службу или компьютер как доверенный для делегирования, вы позволяете этой службе или компьютеру завершить делегированную проверку подлинности, получить билет для пользователя, который делает запрос, а затем получить доступ к информации для этого пользователя. Эта модель ограничивает доступ к данным на внутренних серверах только для тех пользователей или служб, которые предоставляют учетные данные с правильными токенами управления доступом.Кроме того, он позволяет проводить аудит доступа к этим внутренним ресурсам. Требуя доступа ко всем данным с помощью учетных данных, которые делегируются серверу для использования от имени клиента, вы гарантируете, что сервер не может быть скомпрометирован и что вы можете получить доступ к конфиденциальной информации, которая хранится на других серверах. Делегированная проверка подлинности полезна для многоуровневых приложений, которые предназначены для использования возможностей единой регистрации на нескольких компьютерах.

Аутентификация в доверительных отношениях между доменами

Большинство организаций, имеющих более одного домена, имеют законную потребность в доступе пользователей к общим ресурсам, расположенным в другом домене, так же, как путешественнику разрешено путешествовать в разные регионы страны.Для управления этим доступом требуется, чтобы пользователи в одном домене также могли быть аутентифицированы и авторизованы для использования ресурсов в другом домене. Чтобы обеспечить возможности аутентификации и авторизации между клиентами и серверами в разных доменах, между двумя доменами должно быть доверие. Доверие — это основная технология, с помощью которой происходит защищенная связь Active Directory, и они являются неотъемлемым компонентом безопасности сетевой архитектуры Windows Server.

Когда существует доверие между двумя доменами, механизмы проверки подлинности для каждого домена доверяют проверкам подлинности, исходящим из другого домена.Доверие помогают обеспечить контролируемый доступ к общим ресурсам в домене ресурсов — доверенном домене — путем проверки того, что входящие запросы аутентификации поступают от доверенного центра — доверенного домена. Таким образом, доверительные отношения действуют как мосты, позволяющие передавать между доменами только проверенные запросы аутентификации.

То, как конкретное доверие передает запросы аутентификации, зависит от того, как оно настроено. Доверительные отношения могут быть односторонними, обеспечивая доступ из доверенного домена к ресурсам в доверяющем домене, или двусторонними, обеспечивая доступ из каждого домена к ресурсам в другом домене.Доверительные отношения также являются либо нетранзитивными, и в этом случае доверие существует только между двумя доменами доверенных партнеров, либо транзитивными, и в этом случае доверие автоматически распространяется на любые другие домены, которым доверяет один из партнеров.

Для получения информации о том, как работает доверие, см. Как работают доверие домена и леса.

Протокол перехода

Protocol transition помогает разработчикам приложений, позволяя приложениям поддерживать различные механизмы аутентификации на уровне аутентификации пользователей и переключаясь на протокол Kerberos для функций безопасности, таких как взаимная аутентификация и ограниченное делегирование, на последующих уровнях приложений.